技術的な説明
「Open-OSS/privacy-filter」という悪意あるHugging Faceモデルリポジトリが、OpenAIの正規のPrivacy Filterリリースになりすましました。このリポジトリはHugging Faceでトレンド第1位を達成し、18時間以内に約244,000ダウンロードと667件の「いいね」を獲得しました(おそらく人為的に水増しされています)。リポジトリには悪意あるloader.pyファイルが含まれており、Windows ホスト、Chromium/Firefoxブラウザ、Discord ローカルストレージ、暗号資産ウォレット、FileZilla設定、およびホストシステム情報を標的とするRustベースのinfostealerをフェッチして実行していました。攻撃チェーンはSSL検証を無効化し、jsonkeeper.comを経由してBase64エンコードされたC2 URLをデコードし、Microsoft Edgeアップデートを装ったスケジュール済みタスクを介して永続性を確立していました。
攻撃経路
公開AIモデルレジストリを介したサプライチェーン侵害。攻撃者は正規プロジェクトのメタデータをコピーし、悪意あるローダーを通常のセットアップスクリプトに偽装し、削除前のHugging Faceの初期信頼期間を悪用しています。開発者/データサイエンティストが権限昇格を伴う企業環境に直接モデルをクローンすることで、初期感染経路が提供されます。
影響を受けるシステム
Hugging Faceから開発、データサイエンス、または本番環境に直接モデルをクローンするあらゆる組織。特に高リスク:開発者にモデルセットアップ中に任意のPythonスクリプトを実行させることを許可するエンタープライズ。同じローダーロジックと共有インフラを使用する6つの追加の悪意あるリポジトリが特定され、組織的なキャンペーンが示唆されています。
緩和策
緊急対応:(1)環境内のHugging Faceクローンで疑わしいloader.pyまたは同様のセットアップスクリプトを監査; (2)jsonkeeper.comまたは攻撃者制御ドメインとの通信について実行ログを確認; (3)影響を受けたシステムを隔離およびリビルド; (4)潜在的に露出した全認証情報(ブラウザパスワード、Discordトークン、暗号資産ウォレット、クラウド認証情報)をローテーション。長期対策:(1)モデルセットアップスクリプトを実行する前にコードレビューが必須; (2)モデル読み込み環境を企業ネットワークから隔離; (3)モデルデプロイ前にコンテナスキャンとバイナリ分析を使用; (4)typosquattingなりすましについてHugging Faceを監視; (5)AI モデルに対して従来型ソフトウェアと同等のソフトウェアサプライチェーン制御(SBOM、署名済みアーティファクト、プロビナンス検証)を実装。